更新適用於 IoT 的 Defender OT 監視軟體

本文說明如何在 OT 感測器上更新適用於 IoT 的 Defender 軟體版本。

您可以為感測器購買預先設定的設備，或在您自己的硬體計算機上安裝軟體。 不論是哪一種情況，您都需要更新軟體更新版本，才能使用OT感測器的新功能。

如需詳細資訊，請參閱我需要哪些設備？、適用於 OT 監視的預先設定實體設備，以及 OT 監視軟體發行備註。

注意

更新檔案僅適用於目前支援的版本。 如果您擁有的 OT 網路感應器具有不再支援的舊版軟體，請開啟支援票證以存取更新的相關檔案。

必要條件

若要執行本文所述的程序，請確定您有：

• 想要更新的 OT 感應器清單，以及想要使用的更新方法。 您想要更新的每個感應器都必須上線至適用於 IoT 的 Defender 並啟動。

  更新案例	方法詳細資料
  雲端連線感應器	雲端連線感應器可以遠端更新，方法是直接從 Azure 入口網站進行，或使用所下載的更新套件手動進行。 若要遠端更新，OT 感應器必須已安裝 22.2.3 版或更新版本。
  本機管理的感應器	本機管理的感測器可以直接在 OT 感測器控制臺上使用下載的更新套件來更新。

• 所需的存取權限：

  • 若要下載更新套件或從 Azure 入口網站推送更新，您需要以安全性管理員、參與者或擁有者使用者身分存取 Azure 入口網站。

  • 若要在 OT 感測器上執行更新，您需要以系統管理員使用者身分存取。

  • 若要透過 CLI 更新 OT 感應器，您需要以特殊權限使用者身分存取感應器。

  如需詳細資訊，請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限和使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

重要

建議您確認您是否有定期執行感應器備份，特別是在更新感應器軟體之前。

如需詳細資訊，請參閱從感應器主控台備份及還原 OT 網路感應器。

驗證網路需求

• 請確定您的感應器可以連線至 Azure 資料中心位址範圍，並設定組織正在使用的連線方法所需任何額外資源。

  如需詳細資訊，請參閱 OT 感應器雲端連線方法與將 OT 感應器連線至雲端。

• 請確定您的防火牆規則已根據您所要更新版本的需求進行設定。

  例如，新版本可能需要新的或已修改的防火牆規則，以支援存取 Azure 入口網站的感應器。 從 [網站與感應器] 頁面中，選取 [更多動作] > [下載感應器端點詳細資料]，以取得存取 Azure 入口網站所需的完整端點清單。

  如需詳細資訊，請參閱網路需求和 Azure 入口網站的感應器管理選項。

更新 OT 感應器

本節描述如何使用任何支援的方法來更新適用於 IoT 的 Defender OT 感應器。

傳送或下載更新套件以及執行更新是兩個不同的步驟。 每個步驟可以在另一個步驟完成後立即執行，也可以在不同時候執行。

例如，您可能想要先將更新傳送至感應器或下載更新套件，再讓管理員稍後在計劃性維護期間執行更新。

選取您想要使用的更新方法：

Azure 入口網站 (預覽)

此程序描述如何將軟體更新傳送至一或多個網站上的 OT 感應器，並使用 Azure 入口網站從遠端執行更新。 建議您選取網站而非個別感應器來更新感應器。

將軟體更新傳送至 OT 感應器

1. 在 Azure 入口網站的 [適用於 IoT 的 Defender] 中，選取 [網站與感應器]。

   如果您知道網站和感應器名稱，則可以直接進行瀏覽或搜尋，或者，也可以套用篩選來協助找到您需要的網站。

2. 選取一或多個要更新的網站，然後選取 [感應器更新]>[遠端更新]>[步驟一：將套件傳送至感應器]。

   針對一或多個個別感應器，選取 [步驟一：將套件傳送至感應器]。 您也可以從感應器資料列右邊的 [...] 選項功能表使用此選項。

3. 在出現的 [傳送套件] 窗格中，於 [可用版本] 底下，從清單中選取軟體版本。 如果需要的版本未出現，請選取 [顯示更多] 以列出所有可用的版本。

   若要跳至新版本的發行備註，請選取窗格頂端的 [深入了解]。

   頁面下半部會顯示所選感應器及其狀態。 請確認感應器的狀態。 感應器可能因各種原因而無法進行更新，例如感應器已更新為您想要傳送的版本，或感應器發生問題，例如已中斷連線。

   

4. 檢查過要更新的感應器清單後，請選取 [傳送套件]，然後便會開將軟體傳輸至感應器機器。 您可以在 [感應器版本] 資料行中看到傳輸進度，進度列會自動更新已完成的百分比，讓您可以看到程序已開始，並讓您追蹤其進度，直到傳輸完成為止。 例如：

   

   傳輸完成時，[感應器版本] 資料行會變更為 [準備好更新] 。

   將滑鼠停留在 [感應器版本] 值上方，可查看更新的來源版本和目標版本。

從 Azure 入口網站安裝感應器

若要安裝感應器軟體更新，請確定您在 [感應器版本] 資料行中有看到 [準備好更新] 圖示。

1. 選取一或多個要更新的網站，然後從工具列選取 [感應器更新]>[遠端更新]>[步驟 2：更新感應器]。 [更新感應器] 窗格會在畫面右側開啟。

   

   針對個別感應器，[步驟 2：更新感應器] 選項也可從 [...] 選項功能表使用。

2. 在出現的 [更新感應器] 窗格中，確認您的更新詳細資料。

   當您準備好時，請選取 [立即更新]>[確認更新] 以在感應器上安裝更新。 在方格中，[感應器版本] 值會變更為 [安裝]，並且會出現更新進度列來顯示完成百分比。 進度列會自動更新，以便您可以追蹤進度，直到安裝完成為止。

   

   完成時，感應器值會切換為新安裝的感應器版本號碼。

如果感應器更新因故無法安裝，軟體會還原回先前安裝的版本，並觸發感應器健康情況警示。 如需詳細資訊，請參閱了解感應器健康情況 (部分機器翻譯) 和感應器健康情況訊息參考 (部分機器翻譯)。

OT 感應器 UI

此程序描述如何手動下載新的感應器軟體版本，然後直接在感應器主控台的 UI 上執行更新。

從 Azure 入口網站下載更新套件

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取的 [網站與感應器]>[感應器更新 (預覽)]。

2. 在 [本機更新] 窗格中，選取目前安裝在感應器上的軟體版本。

3. 在 [本機更新] 窗格的 [可用版本] 區域中，選取您要下載的軟體更新版本。

   [可用版本] 區域會列出適用於您的特定更新案例的所有更新套件。 您可能有多個選項，但某個特定版本會標示為給您的 [建議]。 例如：

   

4. 在 [本機更新] 窗格中再向下捲動，然後選取 [下載] 以下載更新套件。

   更新套件會以 sensor-secured-patcher-<Version number>.tar 的檔案語法名稱來下載，其中 version number 是您要更新成的版本。

   從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

從感應器 UI 更新 OT 感應器軟體

1. 登入 OT 感應器，然後選取 [系統設定]>[感應器管理]>[軟體更新]。

2. 在右側的 [軟體更新] 窗格上，選取 [上傳檔案]，然後瀏覽至所下載的更新套件並加以選取。

   

   更新程序便會啟動，可能需要大約 30 分鐘的時間，並且包含一到兩次重新開機。 如果機器重新開機，請務必在出現提示時再次登入。

OT 感應器 CLI

此程序描述如何透過 CLI 直接在 OT 感應器上更新 OT 感應器軟體。

從 Azure 入口網站下載更新套件

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取的 [網站與感應器]>[感應器更新 (預覽)]。

2. 在 [本機更新] 窗格中，選取目前安裝在感應器上的軟體版本。

3. 在 [本機更新] 窗格的 [可用版本] 區域中，選取您要下載的軟體更新版本。

   [可用版本] 區域會列出適用於您的特定更新案例的所有更新套件。 您可能有多個選項，但一律會有一個標示為您 [建議] 的特定版本。 例如：

   

4. 在 [本機更新] 窗格中向下捲動，然後選取 [下載] 下載軟體檔案。

   更新套件會以 sensor-secured-patcher-<Version number>.tar 的檔案語法名稱來下載，其中 version number 是您要更新成的版本。

從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

透過 CLI 直接從感應器更新感應器軟體

1. 使用 SFTP 或 SCP 將您從 Azure 入口網站下載的更新套件複製到 OT 感應器機器。

2. 以 support 使用者身分登入感應器、存取系統殼層，然後將更新檔案複製到可供更新程序存取的位置。 例如：

   cd /var/host-logs/ 
   mv <filename> /var/cyberx/media/device-info/update_agent.tar
   

3. 開始執行軟體更新。 請執行：

   curl -H "X-Auth-Token: $(python3 -c 'from cyberx.credentials.credentials_wrapper import CredentialsWrapper;creds_wrapper = CredentialsWrapper();print(creds_wrapper.get("api.token"))')" -X POST http://127.0.0.1:9090/core/api/v1/configuration/agent
   

   在更新程序期間的某個時間點，您的 SSH 連線會中斷。 這表示您的更新正在執行。

4. 藉由檢查 install.log 檔案，繼續監視更新程序。

   以 cyberx_host 使用者身分登入感應器，然後執行：

   tail -f /opt/sensor/logs/install.log
   

確認更新已成功

若要確認更新程序已成功完成，請在下列位置檢查感應器版本是否有新的版本號碼：

• 在 Azure 入口網站中，於 [網站與感應器] 頁面上的 [感應器版本] 資料行中

• 在 OT 感應器主控台上：

  • 在標題列中
  • 在 [概觀] 頁面上 > [一般設定] 區域
  • 在 [系統設定]>[感應器管理]>[軟體更新] 窗格中

升級記錄檔位於 OT 感應器機器上的 /opt/sensor/logs/legacy-upgrade.log 中，且可供 cyberx_host 使用者透過 SSH 來存取。

下一步

如需詳細資訊，請參閱

• 在 Azure 入口網站中管理具有適用於 IoT 的 Defender 的感應器
• 管理個別 OT 感應器
• 針對感應器進行疑難排解 (部分機器翻譯)